Un ambito corrisponde a una suddivisione virtuale all'interno di un'applicazione che separa alcune risorse da altre risorse utilizzate dall'applicazione. È possibile utilizzare gli ambiti per impedire la condivisione accidentale di risorse e per supportare il controllo e la delega. L'utilizzo di ambiti non è obbligatorio.
Un ambito può essere costituito da una cartella, un contenitore in Servizi di dominio Active Directory o Active Directory Lightweight Directory Services, un insieme filtrato di file, ad esempio *.doc, un URL o qualsiasi elemento accessibile dall'applicazione o dall'archivio autorizzazioni sottostante. Gli ambiti rappresentano comunque astrazioni, ovvero definizioni create in Gestione autorizzazioni che non costituiscono una cartella fisica nel file system o un contenitore effettivo di Servizi di dominio Active Directory, ad esempio.
Se non si desidera applicare determinati gruppi, assegnazioni di ruolo, definizioni di ruolo o di attività di Gestione autorizzazioni a un'intera applicazione, è possibile crearli a livello di ambito. L'applicazione contenente l'ambito deve essere in grado di riconoscerne il nome. Nelle applicazioni basate su file, ad esempio, i nomi degli ambiti possono includere nomi o percorsi di file. Nelle applicazioni basate sul Web, i nomi degli ambiti possono essere basati su URL. Nelle applicazioni del Registro di sistema, i nomi degli ambiti possono essere basati su hive del Registro di sistema, mentre in Active Directory possono specificare unità organizzative. Non è possibile definire operazioni a livello di ambito.
Controllo degli ambiti
Non è possibile eseguire il controllo in fase di esecuzione di Gestione autorizzazioni a livello di ambito. È invece possibile eseguire il controllo delle modifiche all'archivio autorizzazioni di Gestione autorizzazioni negli ambiti contenuti in archivi autorizzazioni archiviati in Active Directory. Per ulteriori informazioni, vedere Informazioni sul controllo di Gestione autorizzazioni.
Delega degli ambiti
È possibile delegare l'amministrazione di ambiti ad altri utenti se entrambe le condizioni seguenti vengono soddisfatte:
-
L'archivio autorizzazioni deve essere archiviato in Servizi di dominio Active Directory, Active Directory Lightweight Directory Services o SQL Server.
-
Le regole di autorizzazione non vengono utilizzate in alcuna definizione di ruolo o attività creata all'interno dell'ambito di cui si desidera delegare l'amministrazione.